SCADA Стрейнджлав
SCADA Strangelove — независимая группа исследователей информационной безопасности , основанная в 2012 году и занимающаяся оценкой безопасности промышленных систем управления (ICS) и SCADA .
Деятельность
[ редактировать ]Основные области исследований включают в себя:
- Обнаружение уязвимостей нулевого дня в киберфизических системах и скоординированное раскрытие уязвимостей;
- Оценка безопасности протоколов АСУ ТП и пакетов разработки;
- Идентификация публично подключенных к Интернету компонентов АСУ ТП и их защита с помощью соответствующих органов;
- Разработка руководств по усилению безопасности программного обеспечения АСУ ТП;
- Сопоставление кибербезопасности с функциональной безопасностью;
- Контроль информированности и предоставление информации о фактическом состоянии безопасности систем АСУ ТП.
Однако интересы SCADA Strangelove выходят за рамки классических компонентов ICS и охватывают различные встроенные системы, включая компоненты умного дома, солнечные панели, ветряные турбины, SmartGrid, а также другие области.
Проекты
[ редактировать ]
Члены группы разработали и продолжают разрабатывать и публиковать многочисленные инструменты с открытым исходным кодом для сканирования, снятия отпечатков пальцев, оценки безопасности и подбора паролей для устройств ICS. Эти устройства работают по таким промышленным протоколам, как Modbus, Siemens S7, MMS, ISO EC 60870, ProfiNet. [1]
В 2014 году Shodan использовала некоторые из опубликованных инструментов для построения карты устройств АСУ ТП, которая находится в открытом доступе в Интернете. [2]
Системы оценки безопасности с открытым исходным кодом, такие как THC Hydra, [3] Метасплоит, [4] и DigitalBond Redpoint [5] использовали инструменты и методы, разработанные Shodan.
Группа опубликовала рекомендации по усилению безопасности промышленных решений. [ модное слово ] на базе Siemens SIMATIC WinCC и WinCC Flexible. [6] Рекомендации содержат подробные пошаговые инструкции по настройке безопасности, описания функций внутренней безопасности и соответствующие передовые практики.
Среди наиболее заметных проектов группы — Choo Choo PWN (CCP), также известный как «Атака на критическую инфраструктуру» (CIA). Это интерактивная лаборатория, построенная на программном и аппаратном обеспечении ICS, используемом в реальном мире. Каждая система подключена к инфраструктуре игрушечного города, включающей заводы, железные дороги и другие объекты. Лаборатория демонстрировалась на различных конференциях, включая PHDays, Power of Community, [7] и 30С3.
В первую очередь лаборатория используется для обнаружения новых уязвимостей и оценки механизмов безопасности, однако она также используется для проведения семинаров и других образовательных мероприятий. На Positive Hack Days IV участники обнаружили несколько уязвимостей нулевого дня в Indusoft Web Studio 7.1 от Schneider Electric и в конкретном оборудовании АСУ ТП RTU PET-7000. [8] во время задачи по обнаружению уязвимостей ICS.
Группа поддерживает Secure Open SmartGrid (SCADASOS). [9] проект по поиску и устранению уязвимостей в компонентах интеллектуальных энергосистем, таких как фотоэлектрические электростанции , ветряные турбины , силовые инверторы . В 2015 году было обнаружено и изолировано от Интернета более 80 000 промышленных устройств. [10]
Появления
[ редактировать ]Членов группы часто можно увидеть выступающими на таких конференциях, как CCC , научный симпозиум по безопасности SCADA, Positive Hack Days .
Наиболее заметные выступления:
29С3
[ редактировать ]Обзор уязвимостей, обнаруженных в широко распространенном программном обеспечении Siemens SIMATIC WinCC и инструментах, реализованных для поиска АСУ в Интернете. [11]
PHDays
[ редактировать ]Этот доклад представлял собой обзор уязвимостей, обнаруженных в различных системах производства ABB, Emerson, Honeywell и Siemens, и был представлен на PHDays III. [12] и PHDays IV. [13]
Уверенность 2014
[ редактировать ]Последствия исследований безопасности, направленных на реализацию различных протоколов промышленных сетей. [14] Profinet, Modbus, DNP3, IEC 61850-8-1 (MMS), IEC (Международная электротехническая комиссия) 61870-5-101/104, FTE (отказоустойчивый Ethernet), Siemens S7.
ПакСек 2014
[ редактировать ]Презентации исследований безопасности [15] демонстрирующее влияние радиосетей и сетей 3G/4G на безопасность мобильных устройств, а также промышленного оборудования.
31С3
[ редактировать ]Анализ архитектуры безопасности и внедрение наиболее распространенных платформ для генерации ветровой и солнечной энергии, производящих многие гигаватты энергии. [16]
32С3
[ редактировать ]Оценка кибербезопасности систем железнодорожной сигнализации, таких как автоматическое управление поездами (ATC), компьютерная блокировка (CBI) и Европейская система управления поездами (ETCS). [17]
Китайская конференция по интернет-безопасности 2016 г.
[ редактировать ]В докладе Сергея Гордейчика «Пейзаж киберугроз Большого Китая» был представлен обзор уязвимостей, атак и инцидентов кибербезопасности в регионе Большого Китая. [18]
Разведка 2017
[ редактировать ]В докладе Кирилла Нестерова и Александра Тляпова «Безнадежно: Релейная защита для автоматизации подстанций» были представлены результаты анализа безопасности ключевого компонента Цифровой подстанции – Терминалов релейной защиты . Были представлены уязвимости, в том числе удаленное выполнение кода в Siemens SIPROTEC, General Electric Line Distance Relay, NARI и защитных реле ABB. [19]
Философия
[ редактировать ]Все названия, лозунги и графические элементы отсылают к фильму Стэнли Кубрика « Доктор Стрейнджлав» . В своих беседах члены группы часто ссылаются на события холодной войны, такие как Карибский кризис, и проводят параллели между гонкой ядерных вооружений и нынешней эскалацией кибервойны.
Члены группы придерживаются подхода «ответственного раскрытия информации» и «готовы ждать годами, пока поставщик исправляет уязвимость». Публичные эксплойты обнаруженных уязвимостей не публикуются. Это связано с долговечностью ICS и, как следствие, с длительным процессом исправления ICS. Однако конфликты все еще случаются, особенно в 2012 году, когда на конференции DEF CON [20] было отменено из-за спора о постоянных недостатках промышленного программного обеспечения Siemens.
Ссылки
[ редактировать ]- ^ GitHub: scada-tools [1] (на английском языке)
- ^ Shodan ICSmap. Архивировано 21 февраля 2015 г. на Wayback Machine.
- ^ Журнал изменений для гидры
- ^ GitHub: wincc_harvester
- ^ Выпуск Redpoint: Перечисление Siemens S7
- ^ Руководство по усилению безопасности Siemens Simatic WinCC Flexible 2008
- ^ [POC2013-TV] Настоящая система SCADA взломана за 2 часа [2]
- ^ Умный город взломан на PHDays IV
- ^ Проект Secure Open SmartGrid (SCADASOS)
- ^ Могут ли хакеры выключить свет?
- ^ SCADA STRANGELOVE или: Как я научился беспокоиться и полюбить атомные станции [3]
- ^ Дни позитивного взлома III
- ^ Позитивные дни взлома IV
- ^ SCADA глубоко внутри: протоколы и механизмы безопасности. Архивировано 19 декабря 2014 г. на Wayback Machine.
- ^ Рутинг через SMS
- ^ CCCTV: слишком умная сеть в облаке
- ^ Великое кибер-ограбление поезда
- ^ Ландшафт киберугроз Большого Китая
- ^ Уязвимые промышленные средства управления, напрямую подключенные к Интернету? Почему нет?
- ^ Промышленное программное обеспечение Siemens, на которое нацелен Stuxnet, все еще полно дыр.